Neue Sicherheitsfunktionen von Windows 7 Anwendungskontrolle mit Windows 7 AppLocker

Autor / Redakteur: Johann Baumeister / Peter Schmitz

AppLocker ermöglicht die Kontrolle über die Applikationen in Windows 7 Enterprise. Administratoren können damit festlegen können, wer welche Anwendungen im Unternehmensnetz ausführen darf oder nicht.

( Archiv: Vogel Business Media )

Der Vorläufer von AppLocker sind die Richtlinien für Softwareeinschränkung (SRP) in Windows XP und Windows Vista. Sie stellten schon einen Mechanismus bereit, mit dem IT-Administratoren Anwendungssteuerungsrichtlinien definieren und erzwingen konnten. In einer Umgebung, bei der die Benutzer allerdings Anwendungen installiert oder ständig Applikation durch die zentrale IT aktualisiert werden müssen, werden dies Richtlinien nur umständlich anzuwenden. Sie basierten vorrangig auf der Verwendung von Hashregeln. Dies war in den Anwendungssteuerungsrichtlinien oftmals nur unzureichend umzusetzen.

Bei Hashregeln muss bei jeder Aktualisierung einer Anwendung eine neue Hashregel erstellt werden. Daher waren die „Richtlinien für Softwareeinschränkung“ („Software Restriction Policies“) bei Administratoren nicht besonders beliebt. Aus Kompatibilitätsgründen sind sie in Windows 7 aber weiterhin enthalten. Einfacher und klarer ist dagegen die Verwendung des neuen AppLocker.

Bildergalerie
Bildergalerie mit 13 Bildern

AppLocker ermöglicht die Festlegung von Benutzer oder Gruppen, die bestimmte Anwendungen in der Organisation ausführen können, die auf den eindeutigen Identitäten der Dateien basieren. Dazu gehören die folgenden Aspekte:

  • Welche Anwendungen soll ein Benutzer ausführen dürfen?
  • Welcher Benutzer soll neue Software installieren können?
  • Welche Versionen von Anwendungen sollen erlaubt sein?
  • Wie sollen lizenzierte Anwendungen gesteuert werden?

Seite 2: Neue Regeltypen und Schritt-für-Schritt-Anleitung

Drei neue Regeltypen

AppLocker unterstützt drei neue Regeltypen zur Beschränkung von Anwendungen:

  • Herausgeber (Publisher Rules)
  • Pfad (Path Rules)
  • Dateihash (File Hash Rules)

Der neue Regeltyp „Herausgeber“ verlangt, dass die Anwendungen anhand der vom Softwarehersteller vergebenen digitalen Signaturen identifiziert werden kann. Die meisten neueren Anwendungen sind inzwischen damit ausgestattet. Durch diesen Regeltyp ist es möglich, den Zugriff auf Anwendungen eines bestimmten Herstellers (z.B. Microsoft), den Produktnamen (Excel), den Dateinamen (Excel.exe) und die Versionsnummer explizit festzulegen. Ebenso kann mittels Richtlinien der Start bestimmter Anwendungen verhindert werden.

Der Regeltyp „Pfad“ beschränkt die Ausführung von Programmen auf bestimmte Verzeichnisse. Wenn der Anwender diese Anwendungen von einem anderen Verzeichnis als dem „Programme“-Ordner starten, kommt der Einsatz von Path Rules nicht in Frage.

Beim Regeltyp „Dateihash“ wird ein Hash für das Programm gebildet und bei der Ausführung verglichen. Hierbei muss der Administrator für alle erlaubten Programme einen Hash-Wert berechnen. Nur wenn der festgelegte Hashwert mit dem vor jedem Start ermittelten Wert übereinstimmt, läuft die Anwendung. Die Verwaltung der Hash-Einträge ist aber meist sehr aufwändig und ändern sich mit jedem Software-Update ändern. Die Regeltypen Pfad und Dateihash wurden schon von den Richtlinien für Softwareeinschränkung unterstützt.

Schritt-für-Schritt-Anleitung

Wenn Sie AppLocker verwenden, können Sie Regeln zum Zulassen oder Verweigern zum Ausführen von Anwendungen erstellen. In der folgendne Bilderstrecke zeigen wir Ihnen wie es geht.

(ID:2048849)